top of page
컨퍼런스 어울링

NEWS

PHD 2016 참관기 - "헬스케어 인프라 스트럭쳐 사이버 위협과 보안" 발표 내용 정리

May 19, 2016

러시아 모스크바에서 열리고 있는 PHD 2016에서 다양한 주제 발표가 진행됐다. 그 중 헬스케어 보안위협에 대한 발표가 있었고, 상당 수준의 의료 정보가 블랙마켓에 노출 및 거래가 형성되고 있으며, 의료기관이 주요 타깃 공격의 대상이 되고 있는 부분에 대하여 경각심을 일깨워 주는 발표 내용을 정리해 본다.

▲ 권영목 데일리시큐 객원기자

[주제] 
Fingerprinting and Attacking a Healthcare Infrastructure
헬스케어 인프라스트럭쳐 핑거프린팅 및 공격


Speaker 소개

Anirudh Duggal(애니루드 두갈. 아래 사진)은 현재 필립스 헬스케어(Phillips Healthcare)에서 사이버보안을 담당하고 있으며, "의료기기, 모바일 앱, 웹서비스 및 헬스케어 인프라스트럭쳐"에 대한 전반적인 보안 기술 업무를 담당하고 있으며, Cocon, HITCON, Ground Zero, Nullcon 등에서 헬스케어 보안 관련 자신의 연구분야 발표를 수행하고 있다. 

2015년 10월부터는 ‘Hospitalsecurityproject.com’ 웹사이트를 개설하고, 헬스케어 모바일 앱과 EMR 솔루션 등의 취약점에 대한 기술 업데이트를 직접 수행하고 있다. 

물론 시작 단계의 웹사이트이지만, 포괄적인 보안분야 중에서, 헬스케어 인프라스트럭쳐 보안에 대한 전문 사이트 운영을 시도하는 부분에서 적극적인 지지를 보내고 싶고, 한국에서도 병원정보시스템에 대한 보안 주제를 좀 더 구체적으로 다루는 전문 웹사이트 또는 커뮤니티가 적극적으로 활성화될 수 있는 방안을 기대해 본다.

PHD 2016 Speaker - Anirudh Duggal (애니루드 두갈)
▲ PHD 2016 Speaker - Anirudh Duggal (애니루드 두갈)


발표 요약 및 시사점

타깃 공격(Targeted Attack)은 수년간 APT(Advanced Persistent Threat)라는 명목으로써 수년간 이슈화 되고 있기 때문에 전혀 새로운 보안 이슈는 아니라고 본다.

단, 주목해야 할 부분은 공격자가 어떤 목표 기관을 Targeted Attack의 희생양으로 설정하는지에 대한 트렌드를 이해할 필요가 있으며, 실제로 최근 공격 피해사례를 통해서 타깃 공격(Targeted Attack)의 피해 대상이 좀 더 현실적으로 변경되고 있는 점을 주목할 필요가 있다.

최근까지 Targeted Attack의 주요 피해 대상을 살펴보면, "주요 IT 기업, 리테일 업종, 공공기관,
산업제어시스템(ICS - Industrial Control System)" 등이 있었다.
하지만 최근 미국/유럽을 중심으로 아시아권까지 심각하게 영향을 미치고 있는 피해 대상은 어디인가?
바로 "헬스케어 / 병원 인프라스트럭쳐"라는 점을 발표자는 무거운 목소리로 강조하고 있다.
그 이유는 명확하다.
병원에서 가장 중요하게 보호되어야 할 데이터는 바로 "환자 치료 기록, 환자 병력"과 관련된 정보들이며,
이런 정보가 랜섬웨어에 의해서 암호화되거나, 탈취 또는 변조되는 순간 공격당한 병원의 피해뿐만 아니라, 실제 데이터의 주인이자 보호받아야 할 환자들에게 직접적으로 심각한 피해를 끼치게 되어, 상상 이상의 결과를 도출하게 된다는 점이다.
즉, 의료정보는 우리가 생각하고 있는 수준 이상으로 개인정보 중에서 더 중요하게 보호받아야 하는 점을 명심해야 한다는 것이 발표자의 명료한 메시지이다.

상상해 보자. 당장 수술이 임박한 환자에 대한 병력이 모두 암호화되어 있거나, 투약 정보가 변조되어 다른 약이 제공되는 경우, 어떤 결과가 초래될지 굳이 설명하지 않아도 될 것 같다.

 위 내용은 의료 개인 정보가 중요하게 보호되어야 할 이유를 설명하고 있지만, 공격자 입장에서는 헬스케어/병원을 대상으로 삼고 EHR(Electronic Health Record), EMR (Electronic Medical Record)를 공격, 탈취, 변조하는 직접적인 이유는 바로 "돈"과 직결되어 있으며, 공격 성공 이후의 파급효과에 대한 결과를 명확히 알고 있기에, 그 어느 개인정보보다도 높은 몸값이 설정되어 있다는 점이다.

미국과 유럽을 중심으로 이미 "의료 개인 정보에 대한 공격은 공공 방송에서 수차례 반복적으로 방송되고 있으며, 공격 이후의 심각성과 사회적인 악영향에 대해서 경각심을 일깨워 주고 있다. 실제로 지하경제에서 거래되고 있는 개인정보의 일반적인 가격표는 아래와 같다고 한다.
    o 신용카드 정보:  1 $ ~ 3 $(개당)
    o 주민번호와 같은 Social Security Number: 15 $(개당)
    o 개인 의료 정보 (EHR, EMR 등): 60 $(전체 정보인 경우 -> 환자, 병명, 병력, 투약정보, 수술정보 등)

즉, 개인 의료정보는 상당한 수준의 블랙 마켓(Black Market)을 형성하고 있으며, 최근 타깃 공격의 주요 공격대상이 되고 있음을 인식해야 한다.

공격자들은 보안에 상당한 투자를 하고 있는 대형 엔터프라이즈급의 병원만을 공격하는 것은 아니다. 개인의료정보의 중요성은 대형 병원뿐만 아니라 중/소형 병원의 데이터데 대해서도 동일하게 취급될 수 있다는 점을 악용하고 있는 것이 현실이다.

그렇다면, 공격자들이 개인의료정보를 취득하기 위한 좀 더 쉬운 방법이 존재하는 것일까?
결론은 불행히도 존재한다는 것이다.
이미 수차례 알려진 방법론이지만, 여전히 이 방법론이 공격자들에게 효율적인 이유는 자동화를 통해서, 병원의 규모와 상관없이 많은 정보를 자동으로 수집할 수 있다는 점에 대해서 우리는 경각심을 가져야만 한다. 

이번 발표주제가 Fingerprinting and Attacking a Healthcare Infrastructure 인 이유와, "Fingerprinting" 이라는 용어를 사용하는 것이 바로 자동화된 방법론 및 툴이 존재한다는 것을 의미한다. 더불어 이런 툴도 무료 / 유료로 나누어져 있으며, 유료인 경우에는 상용 보안 솔루션과 마찬가지로, 좀 더 특화된 기능을 제공하고 있다는 것이다.

발표자는 Fingerprinting 에서 사용되는 실질적인 오픈 공격툴들에 대해서 경각심을 일깨워 주고자, 아래와 같이 잠시 요약해 주었다.
     o 생각보다 쉬운, 의료기관 Fingerprinting 툴이 존재한다
     o 생각보다 약한, 보안체계로 구성되어 있다
     o 생각보다 많은, 개인정보와 관련된 의료기기가 인터넷에 연결되어 있다
     o 생각보다 높은, 고품질의 개인의료정보를 취득한다

PHD의 보안 세미나 특성은 방어자 입장보다는, 공격자 입장에서 주제가 발표되는 경향이 많으며, 이를 통해서 보안 마인드 제고를 하자는데 주안점을 둔다.
이에 발표자도 아래와 같이 본인의 테스팅 시나리오를 공개하고 있다.

     o 병원, 개인정보 스캐닝
     o 지속적인 스캐닝
     o 다양한 자동 툴 사용
           △ Shodan
           △ Censys
           △ Matego
     o 수동 스캐닝
     o 구글 사용 (구글은 양질의 정보도 제공하지만, 공격자도 그 정보를 검색한다는 단점이 있다)

위 과정 및 툴을 사용하여, 공격자는 최종 어떤 정보를 얻는가?

     o Medical Device (의료기기 정보)
     o Routers, WebCam, Server (네트워크 장비 정보)
     o EMR Software (EMR 소프트웨어 버전, 취약점 정보)
     o HVAC Controls (HAC 제어)
     o Lighting Controls (수실실, 병실 등의 라이팅 제어)
     o Transport methodology to internet (의료기기의 인터넷 연결통로 검색 가능 - HTTP, FTP 등)
     o 의료기기 제조사(Vendor) 웹페이지 및 펌웨어 정보 페이지 연결
     o 의료기기 연결정보 획득(PACS 시스템 리모트 연결, 등)

위 정보를 검색하는 지역적인 제한이 존재하는가?

     o 전세계 의료 기관 검색 가능
           △ Geo-graphic (대륙별, 국가별 - 아시아 국가 포함)
   o 의료기관의 성격 구분 가능
           △ Healthcare
           △ Hospital 공격자는 탈취를 정보를 어떻게, 무엇을 위해 사용하는가?
     o Goldmine
     o High point of Impact after Attack
     o Ransomware Attack

이미 일반적이 되어버린 공격툴로는 아래와 같은 것들이 존재한다.공격자들이 공유하고 있는, 의료정보 Fingerprinting 툴의 특징은 아래와 같이 요약할 수 있다.

      o Shodan (Shodan.io)
          △ 가장 쉬우면서, 구체적인 웹 검색 툴 (For Healthcare Attack)
          △ 캐쉬 정보 제공
          △ 무료 / 유료 방법론 제공 (유료 방법론 선택 시, 좀 더 구체적인 정보 탈취)
          △ 다국어 검색 제한
      o Censys (censys.io)
          △ 리서치를 위한 Raw Data 제공 (공격자의 수동 분석 필요)
          △ 정규표현식(RegEX)를 이용한 상세 정보 취득
     o Maltego (thick client)
          △ 고급 검색 (Advanced Recon)
          △ 인프라스트럭쳐 핑거프린팅 (**) 
        △ 검색된 병원 기관 및 의료기기의 아키텍쳐 맵 제공 (**)

위와 같은, 헬스케어 인프라스트럭쳐를 대상으로 하는 고급 공격에 대한 보안 대책이 시급하지만, 발표자는 아래와 같이 가이드라인을 제시하고 있다.

      o Secure Network 적용
          △ 망분리를 통한 Public Network / Private Network 운용이 가능한가?
          △ Harden 라우터 / 방화벽 운영 및 정책 관리를 유지할 수 있는가?
          △ Shodan / Censys / Maltego 와 같은 스캐닝 정책을 회피할 수 있는 방법을 운용할 수 있는가?
     o 네크워크는 항상 뚫릴 수 있다는 입장에서, 개인의료정보 보호 방안을 강구해야 한다.
     o 가장 중요한 개인의료정보는 별도 보관해야만 한다
     o 암호화 / 백업이 중요한 요소이다
     o 도입한 의료정보기기의 정확한 정보 이해 및 벤더 관리 매뉴얼 (제품 패치 등) 

위에서 살펴본 바와 같이, Targeted Attack의 대상이 헬스케어 기관으로 급속히 퍼지고 있으며, 이는 미국/유럽 지역만의 보안 이슈가 아니라, 아시아(한국, 중국, 일본)을 포함한 전세계적으로 급속히 퍼져나가는 트렌드임을 명심해야만 한다.
개인의료정보와 병원 인프라스트럭쳐의 노출은 지금까지 논의해온 보안 이슈들과는 또 다른 차원의 피해를 산출하게 되며,상상하지 못할 파급효과를 도출해 낼 수 있다는 점을 잊어서는 안된다.​


[글. 권영목 데일리시큐 객원기자]

O 원문 기사 링크 -->  데일리시큐 [기고] PHD 2016 - 헬스케어 인프라스트럭쳐 사이버 위협과 보안

bottom of page